CERT Polska i policja. Wspólny front przeciw cyberprzestępcom

Funkcjonariusze CBZC z całego kraju od ekspertów NASK dowiedzieli się jak zabezpieczać dane i sprzęt po ataku typu ransomware. Szkolenia, w ramach projektu CROPT, który właśnie dobiegł końca, oparte były nie na akademickiej teorii, lecz na praktyce, czyli incydentach bezpieczeństwa „z życia wziętych”. Policjanci uczyli się także prowadzenia procesu analizy śledczej.

– To nie były zwykłe szkolenia. To budowanie wspólnego, silnego frontu przeciwko cyberprzestęcom, którzy nieustannie podnoszą poprzeczkę, chociażby poprzez intensyfikację swoich działań – mówi Marcin Dudek, kierownik CERT Polska i dodaje: – To wzmacnianie kompetencji i tworzenie zgranego zespołu, który potrafi działać szybko i skutecznie.

Jak wygląda atak ransomware? Siadasz do komputera, pijesz poranną kawę i… na ekranie wyświetla się komunikat informujący, że dane zostały zaszyfrowane. W razie niezapłacenia okupu cyberprzestępcy grożą całkowitą utratą dostępu do danych. Celem ataku może być każdy – osoba prywatna i publiczna, mała firma, jak i duża instytucja.

Każdy z tych incydentów to osobny łańcuch technik, śladów i decyzji, które mogą przesądzić o powodzeniu śledztwa. To właśnie na bazie tych doświadczeń powstał program szkoleniowy dla polskich policjantów.

To szczególnie niebezpieczne w przypadku ataków na państwowe urzędy, szpitale, placówki bankowe czy uniwersytety. Przechowują one dane wrażliwe, a ciągłość ich działania jest niezbędna do funkcjonowania państwa. Dlatego to tak ważne, by policjanci wiedzieli, jak sobie z takimi atakami radzić.

– Praca po ataku ransomare wymaga przemyślanych, skoordynowanych i – co ważne – szybkich działań. Wiedza i umiejętności, które funkcjonariusze CBZC zdobyli podczas szkoleń organizowanych przez ekspertów CERT Polska, pomogą im wybrać odpowiednie metody pracy. Wiedzą już, jak zabezpieczyć sprzęt i ulotne dane, by wesprzeć analityków podczas pracy śledczej, jednocześnie jak najmniej wpływać na działalność poszkodowanego podmiotu – zaznacza Iwona Prószyńska, ekspertka z CERT Polska, działającego w ramach NASK.

Jak wynika z najnowszego raportu CERT Polska za 2025 roku, którego premiera odbędzie się 8 kwietnia podczas konferencji SECURE 2026, liczba odnotowanych w Polsce ataków ransomware rośnie. Wyjaśnianie ich to złożony proces. Szukanie sposobów na usprawnienie działań śledczych jest dziś koniecznością.

CROPT – wspólne budowanie odporności

Projekt CROPT (z ang. Cyber Response and Operations Platform for Threats) koncentruje się na wzmacnianiu zdolności operacyjnych policji w zakresie zwalczania cyberprzestępczości, m.in. poprzez:

• modernizację zespołów policji, które będą wspierać zaatakowane organizacje krajowego systemu cyberbezpieczeństwa w reagowaniu na incydenty i w działaniach związanych z odzyskiwaniem danych,
• szkolenia i budowę praktycznych kompetencji technicznych,
• zakup sprzętu i oprogramowania dla potrzeb prowadzenia działań operacyjnych.

Celem programu CROPT są: skrócenie czasu reakcji na cyberprzestępstwa, zwiększenie skuteczności śledztw oraz poprawa wymiany informacji między zespołami operacyjnymi i ekspertami CERT Polska.

Chodzi też o zmianę sposobu myślenia i schematów postępowania podczas ataków typu ransomware. – O to, by podmioty, które są zagrożone tymi atakami, wiedziały, że właściwa obsługa incydentu to nie tylko przywrócenie działania zakłóconej usługi, ale także analiza incydentu. Aby doprowadzić sprawę do końca, trzeba współpracować z ekspertami i systemem ścigania sprawców. Projekt jest także po to, żeby pogłębić zaufanie do instytucji, które się tym zajmują – podkreśla Prószyńska.

CROPT to program wart ponad 37 milionów złotych, który jest finansowany z KPO. W jego ramach powstanie system ułatwiający obsługę najbardziej złożonych cyberataków.

Po co ransomware?

Analitycy CERT Polska od lat dogłębnie badają taktyki grup cyberprzestępczych. Celem atakujących jest zaszyfrowanie jak największej liczby systemów zaatakowanej organizacji i sparaliżowanie jej działalności poprzez uderzenie w dane niezbędne dla zachowania ciągłości operacyjnej.

To nie są przypadkowe infekcje – to precyzyjne, zaplanowane kampanie, w których przestępcy niszczą kopie zapasowe, aby zmusić ofiary do zapłacenia okupu, jeśli chcą odzyskać dane.

Coraz częściej stosują także technikę double extortion: jeszcze przed szyfrowaniem transferują informacje z infrastruktury ofiary na swoje serwery, aby następnie szantażować organizację groźbą publikacji lub sprzedaży skradzionych danych. Taka kombinacja presji technicznej i psychologicznej sprawia, że każde dochodzenie wymaga od analityków niezwykle precyzyjnej analizy śladów, a od służb szybkiej, skoordynowanej reakcji. Ma to szczególne znaczenie, bo atakujący często zacierają ślady swojej obecności. W takich sytuacjach nawet małe opóźnienie w działaniu może oznaczać utratę ważnych dowodów.